Usenix Enigma HTML5 は、悪質な Web 広告ネットワークにとっては大きなメリットであり、マークアップ言語の機能を使用して、個々のネットユーザーの知らないうちに、または同意なしに詳細な指紋を収集することができます。
今週カリフォルニアで開催されたUsenixのEnigma 2018カンファレンスでのプレゼンテーションで、プリンストン大学のコンピュータサイエンス助教授、アルビンド・ナラヤナン氏は、オーディオ再生などHTML5の高度な機能の一部を使用して、個々のブラウザの種類を識別し、オンラインで追跡して、どのようなことに興味を持っているかを把握する方法を示した。
例えば、ブラウザによって音声ファイルの処理方法が若干異なるため、広告ネットワークやウェブサイトは、どのOSでどのバージョンのブラウザが使用されているかを把握できる可能性があります。これにバッテリー残量やWebRTCなどの他の詳細情報を組み合わせることで、個々のユーザーの指紋を形成できるようになります。
もちろん、ブラウザは通常、ページやその他のコンテンツを取得する際に、バージョン番号とオペレーティングシステムの詳細情報をウェブサーバーに公開します。しかし、ナラヤナン氏の説明によると、広告ネットワークやウェブマスターは、HTML5を使ってブラウザの追跡可能な詳細情報を精査することで、これらの情報を隠蔽しようとする試みを回避できる可能性があるということです。また、JavaScriptとCookieを廃止し、純粋にHTML5に依存したとしても、広告主によるオンライントラッキングから完全に逃れられるわけではないことも意味します。
「HTML5ブラウザはオーディオ処理にライブラリを使用しますが、異なるソフトウェアスタックが他のデータと組み合わせて独自のフィンガープリントを生成します」と彼は説明した。「同様の技術は、バッテリーやWebRTC機能にも適用されます。」
指紋…各ブラウザタイプは、オーディオを処理する独自の方法を持っており、追跡が容易だと、Arvind Narayanan氏のこのスライドは示している。
ナラヤナン氏と彼のチームは長年にわたり、広告トラッカーの行動を監視してきました。2014年には、世界で最も訪問者数の多いウェブサイト上位10万のうち5,000が、何らかの方法でキャンバス・フィンガープリンティング技術を用いて、ネットユーザーが知らないうちにページからページへ、サイトからサイトへと移動する様子を識別・追跡していることを発見しました。
昨年のさらなる調査で、広告ネットワークがセッションリプレイスクリプト(同氏はこれを「ステロイドを使った分析」と表現)を使用してオンラインでユーザーを追跡していることが判明した。ナラヤナン氏と彼のチームは、この方法で訪問者の情報を漏洩する広告トラッカーを8,000のウェブサイトで発見したと述べた。その中には、フォームを通じて機密性の高い患者記録を広告主に提供していたとみられるアメリカの薬局チェーン、ウォルグリーンのウェブサイトのコードや、プリンストン大学が使用している課題採点ソフトウェア「グレードスコープ」も含まれていた。
「この(セッションリプレイ技術)はウェブサイトの所有者とユーザーを激怒させました」と彼は述べた。「この技術の詳細を説明すると、大手広告トラッキングプロバイダーは使用を中止しました。どうやら日光は強力な消毒剤のようです。」
しかし、こうした監視には限界があると彼は警告した。ネットユーザー追跡企業は、ネット上で人々を追跡し、彼らの興味関心を把握して、ターゲット広告や特別オファーを提供することをやめるつもりはない。ナラヤナン氏は、現在では機能不全に陥っているブラウザの「Do Not Track」機能を監督していたチームの一人だった。広告業界は断固としてこう主張していた。インターネットユーザーの15%以上が追跡をオフにすれば、バナー広告ネットワークは協力を拒否し、追跡を継続するだろう、と。
Privacy BadgerやGhosteryといった広告ブロッカーによる技術的な回避策はある程度有効だと彼は述べた。しかし、それらは通常、広告トラッカーを最初からブロックするのではなく、追いかけるだけのものだ。
これを阻止する唯一の方法は、ウェブブラウザのプログラマーが率先して、ユーザーをストーキングする能力を抑制する対策を組み込むことです。しかし、ナラヤナン氏は、ブラウザメーカーは関与を望んでいないと述べています。
「歴史的に、ウェブブラウザはこれを自分たちの問題ではないと考えています。ベンダーは中立的な立場を保とうとし、ユーザーに解決を委ねています」と彼は述べた。「ユーザーにとって、これはメールプロバイダーがスパム対策に中立的であると宣言するようなものです。プライバシー保護こそが、ユーザーがブラウザを選ぶ根本的な理由なのです。」
いくつか心強い動きもある。Braveブラウザは悪質な広告トラッカーを無力化するために特別に開発されており、FirefoxとSafariもこの分野でより一層の努力をしていると彼は述べた。Chromeも同様の動きを見せていることは注目に値する。
しかし、必要なのは根本的な見直しです。プライベートブラウジングがローカルワークステーションにセッションデータを記録しないのと同様に、トラッキングのないブラウジングを保証する機能も必要です。HTTPSアイコンのような警告表示も有用でしょう。
こうした監視対策の導入は重要だとナラヤナン氏は述べた。プライバシーは社会にとって不可欠であり、プライバシーの欠如が議論を阻害することを示す証拠は数多くあるからだ。「プライバシーは社会の適応力を高める潤滑油です」とナラヤナン氏は述べた。「監視が蔓延する状況になれば、その機動性は失われます。」®
